软件资讯 Grafana 权限提升漏洞

padgett · 2022-10-02 08:54:00 · 热度: 93

漏洞描述

Grafana 是一个用于监控和可观察性的开源平台。

当使用 Authproxy 进行身份验证时,该漏洞允许攻击者从管理员权限升级到服务管理员。(在 Authproxy 功能中允许仅通过在 X-WEBAUTH-USER HTTP 标头中提供用户名(或电子邮件)来对用户进行身份验证即前端代理负责身份验证,并且只有使用此前端代理才能公开访问 Grafana 服务器。)

漏洞名称 grafana 权限提升漏洞
漏洞类型 使用欺骗进行的认证绕过
发现时间 2022/9/21
漏洞影响广度 一般
MPS 编号 MPS-2022-51471
CVE 编号 CVE-2022-35957
CNVD 编号 -

影响范围

github.com/grafana/grafana @[9.1.0, 9.1.6)

github.com/grafana/grafana @[1.0.0, 8.5.13)

github.com/grafana/grafana @[9.0.0, 9.0.9)

修复方案

升级 github.com/grafana/grafana 到 8.5.13、9.0.9、9.1.6 或更高版本

为您推荐与 grafana 相关的帖子:

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册